Het onlangs verholpen beveiligingslek in de videoconferentiesoftware Zoom was veel erger dan eerst werd aangenomen en maakte het mogelijk om miljoenen Macs zonder interactie van gebruikers met malware te infecteren. Alleen het bezoeken van een kwaadaardige website was voldoende.
Beveiligingsonderzoeker Jonathan Leitschuh ontdekte dat het mogelijk was om gebruikers zonder enige interactie aan een Zoom-gesprek te laten deelnemen, waarbij hun webcam werd ingeschakeld. Daarnaast bleek dat Zoom bij macOS-gebruikers een webserver installeert. Bij het verwijderen van Zoom bleef deze webserver gewoon geïnstalleerd en actief. Via deze achtergebleven webserver was het mogelijk voor websites om zonder interactie van gebruikers de Zoom-software opnieuw te installeren en zou een mogelijkheid kunnen bieden om op afstand willekeurige code uit te voeren.
Die mogelijkheid is bevestigd door onderzoekers van securitybedrijf Assetnote. Via de webserver is het mogelijk om willekeurige code op het systeem uit te voeren. Om te voorkomen dat gebruikers een installatiescherm voor de kwaadaardige applicatie te zien kregen maakten de onderzoekers gebruik van een terminal-profiel waarmee startup-commando's kunnen worden opgegeven.
Via deze techniek is het mogelijk om commando's uit te voeren en permissies en gesigneerde code beperkingen te omzeilen. Het probleem is inmiddels verholpen. Zowel Zoom als Apple hebben updates uitgerold die de webserver verwijderen. In onderstaande video wordt de aanval gedemonstreerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.